收集 Radware WAF 日志

支持的平台:

本文档介绍了如何使用 Google 安全运营转发器收集 Radware Web 应用防火墙 (WAF) 日志。解析器使用 Grok 模式从 Radware 防火墙 syslog 消息中提取字段,并将其映射到 UDM。它可以处理各种日志格式,根据攻击详情填充安全结果字段,并根据 attack_id 对事件进行分类,从而丰富要提取到 Google SecOps 的数据。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用了带有 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保在 AppWall 上安装并配置了 Radware Vision Reporter。
  • 确保您拥有对 Radware WAF 门户的特权访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 Bindplane Agent 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane Agent

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell
  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。
  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    • 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,则位于安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。
  2. 按如下方式修改 config.yaml 文件:

    receivers:
      udplog:
        # Replace with your specific IP and port
        listen_address: "0.0.0.0:514"
    
    exporters:
      chronicle/chronicle_w_labels:
        compression: gzip
        # Path to the ingestion authentication file
        creds: '/path/to/your/ingestion-auth.json'
        # Your Chronicle customer ID
        customer_id: 'your_customer_id'
        endpoint: malachiteingestion-pa.googleapis.com
        ingestion_labels:
          log_type: SYSLOG
          namespace: radware_waf
          raw_log_field: body
    
    service:
      pipelines:
        logs/source0__chronicle_w_labels-0:
          receivers:
            - udplog
          exporters:
            - chronicle/chronicle_w_labels
    
  • 根据基础架构中的需要替换端口和 IP 地址。
  • <customer_id> 替换为实际的客户 ID。
  • 获取 Google SecOps 提取身份验证文件部分中,将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent
    
  • 如需在 Windows 中重启 Bindplane Agent,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

配置 Radware AppWall WAF

如需完成这些任务,请执行以下三项配置:

  • 使用 Vision Reporter 配置 AppWall 独立版。
  • 使用 Vision Reporter 在 Alteon 中配置集成的 AppWall(在事件详情中添加 HTTP 请求数据)。
  • 配置 Vision Reporter 以将日志发送到 Bindplane 代理。

使用 Vision Reporter 配置 AppWall 独立版

  1. 使用管理员凭据登录 Radware WAF 控制台。
  2. 依次前往配置 > 服务 > 视觉支持 > 视觉报告程序
    • 选中将事件发送到 Vision Reporter 复选框,以启用日志记录。
    • Vision Reporter 地址:输入 Vision Reporter 的 IP 地址
    • 端口:输入端口号。
    • 协议:选择 UDPTCP
    • 如需包含 HTTP 响应数据,请选中将回复发送到 Vision Reporter 复选框。
  3. 点击保存

使用 Vision Reporter 在 Alteon 中配置集成的 AppWall(对于 HTTP 请求数据日志记录,首选此方法)

  1. 使用管理员凭据登录 Radware WAF 控制台。
  2. 依次前往配置 > 安全性 > 网站安全性 > 可见性报告程序
    • 选中将事件发送到 Vision Reporter 复选框,以启用日志记录。
    • 选中将事件发送到 Vision 报告程序复选框。
    • Vision Reporter IP 地址:输入 Vision Reporter 的 IP 地址。
    • 端口:输入一个较高的端口号。
    • 安全:选择 UDPTCP
  3. 点击保存

配置 Vision Reporter 以将日志发送到 Bindplane Agent

  1. 登录 Radware Vision Reporter 管理控制台。
  2. 依次前往配置 > SIEM 和外部日志记录
  3. 点击 + Add New SIEM Destination
    • Destination Name(目标名称):输入 Google SecOps Forwarder
    • 日志导出类型:对于结构化日志记录,请选择 Syslog(RFC 5424 格式)。
    • 远程 Syslog 服务器 IP 输入 Bindplane Agent 的 IP 地址。
    • Port(端口):输入 Bindplane Agent 监听的端口(例如,UDP 为 514,TCP 为 601)。
    • 协议:根据绑定平面配置,选择 UDPTCP
  4. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
action event.idm.read_only_udm.security_result.action 如果 action 为“drop”,请将其设置为“BLOCK”。
attack_desc event.idm.read_only_udm.security_result.description 直接映射。
attack_type event.idm.read_only_udm.security_result.threat_name 直接映射。
command event.idm.read_only_udm.principal.process.command_line 直接映射。
description event.idm.read_only_udm.security_result.description 如果 attack_desc 为空,则直接映射。
dst_ip event.idm.read_only_udm.target.ip 直接映射。
dst_port event.idm.read_only_udm.target.port 直接映射,转换为整数。如果存在 username 但不存在 command,则设置为“MACHINE”。从原始日志的 collection_time 字段复制。默认为“NETWORK_CONNECTION”。如果缺少 src_ipdst_ip,则将其设置为“GENERIC_EVENT”。如果 username 存在且 command 不存在,则设置为“USER_LOGIN”。可被基于 attack_id 的逻辑替换。设置为“RADWARE_FIREWALL”。从 product 字段映射而来。设置为“Radware”。
intermediary_ip event.idm.read_only_udm.intermediary.ip 直接映射。
obv_ip event.idm.read_only_udm.observer.ip 直接映射。
product event.idm.read_only_udm.metadata.product_name 直接映射。
protocol_number_src event.idm.read_only_udm.network.ip_protocol 使用 parse_ip_protocol.include 逻辑解析。
rule_id event.idm.read_only_udm.security_result.rule_id 直接映射。根据 attack_id 的值派生。值包括“ACL_VIOLATION”“NETWORK_DENIAL_OF_SERVICE”“NETWORK_SUSPICIOUS”“NETWORK_RECON”。
src_ip event.idm.read_only_udm.principal.ip 直接映射。
src_port event.idm.read_only_udm.principal.port 直接映射,转换为整数。
ts event.idm.read_only_udm.metadata.event_timestamp 已解析并转换为时间戳。
username event.idm.read_only_udm.target.user.userid 如果 command 不存在,则直接映射。
username event.idm.read_only_udm.principal.user.userid 如果存在 command,则直接映射。

变化

2023-12-08

  • 修改了 Grok 模式,以正确解析“src_ip”。

2023-11-23

  • 添加了新的 Grok 模式,以支持新的未解析 SYSLOG 模式。
  • 添加了对“ts”新日期格式的支持。
  • 将“attack_type”“attack_desc”“protocol_number_src”“security_result”“action”“product”初始化为 null。
  • 在映射到“event.idm.read_only_udm.metadata.product_name”之前,对“product”添加了 null 检查。
  • 在映射到“event.idm.read_only_udm.security_result.rule_id”之前,对“rule_id”添加了 null 检查。
  • 在映射到“event.idm.read_only_udm.security_result.description”之前,对“attack_desc”添加了 null 检查。
  • 在映射到“event.idm.read_only_udm.security_result.threat_name”之前,对“attack_type”添加了 null 检查。
  • 将“username”映射到“event.idm.read_only_udm.principal.user.userid”。
  • 将“command”映射到“event.idm.read_only_udm.principal.process.command_line”
  • 将“description”映射到“event.idm.read_only_udm.security_result.description”。
  • 将“intermediary_ip”映射到“event.idm.read_only_udm.intermediary.ip”。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。